谷歌為Nexus智能手機(jī)和平板電腦發(fā)行了一批新型安全補(bǔ)丁,解決了通過惡性郵件、網(wǎng)頁和彩信入侵安卓設(shè)備的漏洞，

谷歌發(fā)布安卓上的關(guān)鍵媒體進(jìn)程以及root漏洞補(bǔ)丁

    谷歌在安全公告中表示: 固件更新系統(tǒng)會(huì)應(yīng)用無線更新推廣于支持Nexus設(shè)備,并且在接下來的48小時(shí)把補(bǔ)丁添加到安卓開放源代碼項(xiàng)目(AOSP)。安全修復(fù)級(jí)別中包含的修復(fù)系統(tǒng),例如LMY48Z或安卓棉花糖,會(huì)在2015年12月1日前建立。

    這些更新系統(tǒng)修復(fù)了五個(gè)關(guān)鍵漏洞、十二個(gè)高級(jí)漏洞和兩個(gè)中級(jí)漏洞。在一些操作系統(tǒng)媒體處理組件中,也就是處理音頻視頻回放和相應(yīng)的元數(shù)據(jù)解析文件,又一次發(fā)現(xiàn)了相當(dāng)數(shù)量的缺陷漏洞。

    在操作系統(tǒng)的核心——媒體服務(wù)器中發(fā)現(xiàn)了一種嚴(yán)重的漏洞補(bǔ)丁。這種漏洞可以越權(quán)應(yīng)用于執(zhí)行不屬于第三方應(yīng)用的任意代碼。用戶在瀏覽器中使用特殊制作的媒體文件時(shí),攻擊者就可以通過欺詐手段或發(fā)送彩信來遠(yuǎn)程利用此種漏洞。

    應(yīng)該指出的是,在安卓默認(rèn)的消息應(yīng)用程序中,比如環(huán)聊或信使,接收到的多媒體信息無法自動(dòng)解析，

電腦資料

    其他三個(gè)可以通過郵件、網(wǎng)頁瀏覽或彩信執(zhí)行遠(yuǎn)程代碼的媒體處理漏洞,也在Skia制圖引擎和媒體服務(wù)器下載的用戶模式驅(qū)動(dòng)程序中得到修補(bǔ)。

    最后被修補(bǔ)的漏洞是一個(gè)在安卓核心中特權(quán)升級(jí)的漏洞。它可以潛地允許惡性應(yīng)用程序root執(zhí)行代碼,也就是系統(tǒng)中的最高權(quán)限。

    這樣的缺陷可以讓某些狂熱者用來完全控制設(shè)備,就是所謂的安卓root。但是在一些惡意攻擊者手中,這樣的缺陷會(huì)導(dǎo)致徹底而持久的入侵。并且,只有在操作系統(tǒng)執(zhí)行更新時(shí)才會(huì)修復(fù)。

    附加的權(quán)限升級(jí)缺陷在其他組件中也得到修復(fù),但是它們不允許root,因此只被定為高級(jí)漏洞。即便如此,它們也可以給惡性應(yīng)用程序發(fā)送本不應(yīng)有的危險(xiǎn)許可。

    如果設(shè)備制造商提供了最新版本,谷歌建議安卓舊版用戶更新到最新版本,。因?yàn)樾掳姘沧窟m當(dāng)?shù)靥岣吡税踩�性來阻礙或制止漏洞的利用。

    谷歌安全團(tuán)隊(duì)也運(yùn)用了Verify Apps和SafetyNet 這樣的設(shè)置來監(jiān)測(cè)預(yù)防潛在的危險(xiǎn)應(yīng)用程序。例如,谷歌市場(chǎng)(Google Play)就不接受用權(quán)限升級(jí)缺陷root設(shè)備的應(yīng)用程序,Verify Apps也會(huì)默認(rèn)阻止root可知的應(yīng)用程序。